Auf dieser Seite werden die präventiven und erkennungsbezogenen Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Haltung für VPC-Netzwerke (Virtual Private Cloud) enthalten sind. Diese Haltung umfasst zwei Richtliniensätze:
Ein Richtliniensatz, der Einschränkungen für Organisationsrichtlinien enthält, die gelten für VPC-Netzwerk.
Eine Richtliniengruppe, die Security Health Analytics-Detektoren enthält, die für VPC-Netzwerke gelten.
Mit diesem vordefinierten Status können Sie einen Sicherheitsstatus konfigurieren, der zum Schutz des VPC-Netzwerks. Sie können diesen vordefinierten Sicherheitsstatus bereitstellen ohne Änderungen vorzunehmen.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Einschränkungen für Organisationsrichtlinien beschrieben, die in diesem Posture enthalten sind.
| Policy | Beschreibung | Compliancestandard |
|---|---|---|
compute.skipDefaultNetworkCreation |
Diese boolesche Einschränkung deaktiviert die automatische Erstellung einer Standardeinstellung VPC-Netzwerk und Standard-Firewallregeln in jedem neuen Projekt, Netzwerk- und Firewallregeln absichtlich erstellt werden. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
ainotebooks.restrictPublicIp |
Diese boolesche Einschränkung schränkt den Zugriff über öffentliche IP-Adressen auf neu erstellte Vertex AI Workbench-Notebooks und -Instanzen. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
compute.disableNestedVirtualization |
Diese boolesche Einschränkung deaktiviert die verschachtelte Virtualisierung für alle Compute Engine-VMs zur Verringerung des Sicherheitsrisikos aufgrund nicht überwachter verschachtelte Instanzen zu erstellen. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Detektoren von Security Health Analytics beschrieben, die in vordefinierter Sicherheitsstatus. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.
| Detektorname | Beschreibung |
|---|---|
FIREWALL_NOT_MONITORED |
Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind. |
NETWORK_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert sind. |
ROUTE_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind. |
DNS_LOGGING_DISABLED |
Dieser Detektor prüft, ob DNS-Logging im VPC-Netzwerk aktiviert ist. |
FLOW_LOGS_DISABLED |
Dieser Detektor prüft, ob Flusslogs im VPC-Subnetz aktiviert sind. |
Posture-Vorlage ansehen
So rufen Sie die Vorlage für die Bewertung der Sicherheit für VPC-Netzwerke auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID: die numerische ID der Organisation
Führen Sie den
gcloud scc posture-templates
describe
Befehl:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Die Antwort enthält die Vorlage für die Bewertung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Bewertung.